9月28日,全国信息安全标准化技术委员会秘书处发布《信息安全技术 网络安全信息送指南》(下称《指南》)并面向社会公开征求意见,截止日期为11月27日。


  信安标委官网


  《指南》拟规定,送网络安全威胁信息时需送发现时间和威胁情信息等,接收方则可要求送方提供其针对威胁已采取的措施、后续计划以及潜在受影响资产情况和危害后果等。


  1


  送网络安全威胁信息需披露恶意代码等


  去年12月,工业和信息化部发布通称,某公司发现开源日志框架阿帕奇Log4j2组件存在严重安全漏洞,但其并未将漏洞情况及时上。通指出,该漏洞可能导致设备远程受控,引发严重危害,属于高危漏洞。其后,该公司回应称早期发现该漏洞时未意识到其严重性,未及时共享漏洞信息,未来将强化漏洞告管理。


  在发现网络安全漏洞后,企业应该怎么做?《网络产品安全漏洞管理规定》明确,网络产品提供者应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台送相关漏洞信息,送内容包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。


  为了进一步指导和帮助完成网络安全信息送活动,《指南》拟为该活动中的各参与角色提供具体参考,不仅描述了网络安全信息送的信息类型、要素、格式规范,还包括网络安全信息送活动的参与角色、基本流程、送方式。参与起草有包括高校、研究院及企业等主体在内的共27家单位。


  首先,《指南》拟将网络安全信息定义为描述网络安全相关情况的信息,送的网络安全信息类型包括脆弱性信息、网络安全威胁信息、网络安全事态信息、网络安全事件信息、网络安全态势信息、网络安全资讯、其他信息等。


  在送内容方面,送网络安全威胁信息应包含时间信息和威胁描述,前者包括网络安全威胁发现时间、送时间等,后者包括威胁情信息、恶意代码信息等。同时,接收方还可要求送方提供措施信息、影响信息、关联信息和佐证材料,其中措施信息指已采取的措施、后续计划等,影响信息指潜在受影响资产情况及危害后果、潜在影响发生可能性、对业务的影响情况等。


  与网络安全威胁信息类似,在送网络安全事件信息时需包括时间信息和事件描述,事件描述指事件类型、详细信息等。接收方其他需求则在接收网络安全威胁信息所需条件的基础上增加了攻击方信息——包括攻击方描述、可能的动机等。此外,送脆弱性信息应包括时间信息和脆弱性描述,接收要求与网络安全威胁信息相同。


  如果要送整体情况,该怎么做?《指南》拟规定,网络安全态势是对一定范围上述送情况及与网络安全相关的其他情况的整体描述。要送网络安全态势信息,除了时间信息,还包括空间信息、态势类型、输出信息类型和态势描述。空间信息包括地域、行业等,输出信息类型包括统计指标、分布特点、发展趋势等,还可以采用数据、图表、文字等信息形式描述网络安全态势。


  2


  接收方可规定信息送时效性


本文标题:新国标拟规定:报送网络安全事件信息或需披露攻击方动机